3 razões pelas quais os sites do WordPress foram invadidos + Como proteger os seus

Se você estiver executando um site usando o WordPress, corre um risco muito maior de ser invadido. O WordPress possui cerca de 27% dos sites do mundo e possui cerca de 59% da participação no mercado do sistema de gerenciamento de conteúdo (CMS).


O WordPress não é usado apenas por blogueiros ou webmasters inexperientes. As seguintes grandes empresas usam o WordPress para alimentar seus sites:

  • Bloomberg
  • BBC America
  • MTV News
  • PlayStation
  • Disney
  • Variedade
  • Sony Music

De acordo com a empresa de segurança de sites da Internet Sucuri, o WordPress foi responsável por 83% das infecções por CMS registradas em 2017, ante 74% em 2016. Por que os sites WordPress são tão populares entre os hackers? Para iniciantes, a plataforma é famosa por ter toneladas de vulnerabilidades decorrentes principalmente de sua programação de código aberto.

Em seguida, o WordPress tem uma fatia tão grande do mercado, o que torna muito mais lucrativo para os hackers segmentar a plataforma. Mais de 75 milhões de sites usam o WordPress, tornando-o adequado para hackers.

Infelizmente, muito do motivo pelo qual o WordPress é tão popular para hackear é por causa de seus usuários. Os usuários do WordPress cometem muitos erros ao criar um site, e esses erros resultam na invasão do site. Aqui estão as três principais razões pelas quais os webmasters do WordPress são invadidos e o que você pode fazer para proteger seu site.

Falha # 1: você escolheu um provedor de hospedagem precário

Você obtém o que paga e inúmeros hosts de sites “baratos” também economizam em muitos recursos essenciais para proteger seu site adequadamente. Os hackers sabem disso e têm como alvo hosts de sites de baixa qualidade e sites hospedados neles.

Fornecedores de hospedagem de sites abaixo do padrão geralmente exibem as seguintes características:

  • Forneça backups apenas uma vez por semana ou nenhum backup
  • Não suporta as versões mais recentes do MySQL ou PHP
  • Não verifique se há malware
  • Não ofereça proteção por firewall ou DDoS
  • Não forneça proteção de diretório
  • Tenha uma garantia de tempo de atividade de 99,9% ou menos (os melhores provedores devem ser 99,99% ou melhores)

Se um host de site estiver abaixo do padrão em uma área ou oferecer recursos inferiores em pelo menos um plano de serviço, considere o host inteiro abaixo do padrão. Mesmo que os hackers não consigam invadir seu site diretamente, eles ainda podem causar estragos no servidor da web, o que acaba afetando seu desempenho. Leia mais sobre os melhores serviços de hospedagem de sites aqui.

Hospedagem hackeada

Falha # 2: você instalou temas ou plug-ins defeituosos

De acordo com o WP Template, cerca de 29% dos hacks vêm por um tema inseguro e 22% por plug-ins vulneráveis. O modelo ou plug-in pode estar desatualizado ou programado por alguém que não tem consciência de segurança. Os hackers aproveitarão qualquer vulnerabilidade que encontrarem para tentar invadir seu site.

Em 2015, por exemplo, houve uma grande vulnerabilidade descoberta no aplicativo WP Slimstat 3.9.5 que deixou mais de 1 milhão de sites suscetíveis de serem invadidos. A vulnerabilidade permitiu que os ciberataques quebrassem a chave secreta do plug-in e executassem injeções de SQL que permitiam que hackers controlassem sites.

Outra grande descoberta foi encontrada no popular aplicativo de fotos TimThumb, em 2012. Uma vulnerabilidade na função ‘redimensionamento externo da imagem’ permitiu que hackers injetassem código PHP nos servidores da web. O desenvolvedor do aplicativo até admitiu que havia se tornado vítima de hackers devido ao aplicativo com defeito e finalmente parou de desenvolvê-lo.

Se esses exemplos de explorações de vulnerabilidade ainda não forem alarmantes, observe que você também precisa lidar com temas e plug-ins distribuídos por hackers e sites de malware. Como o WordPress é de código aberto, qualquer pessoa pode criar e distribuir software para o WordPress.. Eles geralmente são considerados aplicativos úteis e, em muitos casos, fornecem a funcionalidade prometida. Os programas também incluem código extra que permite que um hacker penetre seu site ou use-o para espalhar malware, redirecionar usuários para sites e muito mais.

Falha nº 3: você é um Slacker como administrador

Outro motivo comum para sites pirateados do WordPress é que os administradores de sites estão se esquivando de suas responsabilidades, deixando de manter seus sites o mais seguro possível. Isso envolve parte ou mesmo todo o seguinte:

  • Falha ao usar senhas fortes
  • Falha ao proteger o diretório wp-admin
  • Falha ao atualizar o WordPress regularmente
  • Falha ao atualizar temas ou plug-ins regularmente
  • Conceder permissões de arquivo incorretas às contas de usuário
  • Usando FTP padrão sobre SFTP ou SSH

Os quatro primeiros são os déficits mais comuns para administradores. Eles usam uma senha fraca ou não atualizam o WordPress, seus temas ou plug-ins regularmente. As atualizações regulares garantem que você obtenha a versão mais recente, que geralmente inclui atualizações de segurança.

Menos comuns – mas ainda problemáticas – são as permissões de arquivo e o uso inseguro de FTP. Se as permissões de arquivo ou diretório não estiverem definidas corretamente, os hackers poderão obter acesso de leitura e gravação ao seu site. Além disso, se você usa o FTP padrão sobre SFTP ou SSH, está solicitando a pirataria, pois o FTP padrão envia senhas não criptografadas ao seu servidor da web. Se os hackers estão farejando o site, eles podem roubar suas senhas.

O Guia Básico para Evitar a Maioria dos Hacks do WordPress

Se você deseja evitar a invasão do site do WordPress, há várias etapas que você pode seguir para se proteger. A maioria são etapas simples, mas exigem ações consistentes de sua parte.

Prática recomendada nº 1: escolha hospedagem de qualidade

Este não é apenas um clichê. Muitos hosts de site oferecem recursos abaixo do padrão, com o objetivo de ganhar dinheiro rapidamente, deixando-o praticamente desprotegido. Procure um provedor que fornece backups diários, proteção antivírus e malware, as versões mais recentes do PHP e MySQL, proteção anti-DDoS e diretórios seguros como recursos padrão para todos os planos.

hospedagem de qualidade

Além disso, considere escolher um host que já é conhecido por ser otimizado para WordPress. Isso não significa que ele oferece um instalador automático ou é compatível com o WordPress. Isso significa que eles fornecem personalizações do WordPress, juntamente com ferramentas e equipe de suporte com conhecimento em ajudá-lo a criar e proteger seu site.

A escolha mais óbvia para hospedagem otimizada para WordPress seria WordPress.com. Oferece planos de hospedagem WordPress gratuitos e pagos. Para saber mais, consulte nossa análise de especialistas ou visite a página de preços.

Outros provedores que incluem hospedagem otimizada para WordPress incluem:

  • Hostinger
  • Vai Papai
  • iPage
  • Hospedagem InMotion
  • SiteGround

Nosso artigo sobre o melhor site de hospedagem para WordPress mostra mais exemplos.

Prática recomendada nº 2: tenha cuidado com os plug-ins e os temas que você instala

Primeiro, você deseja instalar e executar o mínimo possível de plug-ins do WordPress para reduzir o número de riscos potenciais para o seu site. Elimine ou desative qualquer plug-in no seu back-end do WordPress que você não precisa para o seu site.

Próximo, instale apenas plug-ins e temas de fontes confiáveis. Assim como você não faria o download automático de um programa ou abriria um anexo de email de uma parte desconhecida, você deve ficar longe de plug-ins e temas de fontes desconhecidas..

WordPress.org é o diretório definitivo de plug-ins seguros. Todos os plug-ins listados em sua seção Plug-ins são geralmente testados e considerados seguros. Escolha Plugin é outra fonte de plug-ins que serve como um banco de dados de plug-ins disponíveis para WordPress. Ele também fornece informações que podem ajudá-lo a determinar se um plug-in é seguro, incluindo atualização mais recente, classificação, total de downloads, instalações ativas e muito mais.

Além disso, existem várias maneiras de testar seus plug-ins e temas antes de instalá-los. Instale o Plugin Check e o Theme Check no seu site para verificar regularmente temas e plug-ins incorretos. A Sucuri oferece um banco de dados de plug-ins com vulnerabilidades conhecidas que você deve considerar verificar antes de instalar um plug-in suspeito.

Ao instalar plug-ins ou temas, há algumas coisas a serem observadas antes do download. Se você encontrar algum dos seguintes itens sobre um plug-in, procure outro:

  • Um histórico de problemas, segurança ou outros
  • Incompatibilidade com a versão atual do WordPress
  • Atualizações pouco frequentes ou não foram atualizadas há muito tempo
  • Uma grande porcentagem de críticas ruins
  • Falta de suporte ou documentação
  • Relatórios de hosts banindo o plug-in

Prática recomendada nº 3: leve a sério suas funções de administrador

Se você não leva a sério suas funções de administrador, por que se preocupar em criar um site? Basta contratar alguém para fazer o trabalho. Se você deseja manter seu site seguro, faça o seguinte:

  • Use senhas fortes e altere-as regularmente. Não os use para mais nada.
  • Atualize regularmente seu WordPress, temas e plug-ins para a versão mais recente.
  • Proteja seus diretórios WordPress e habilite as permissões corretas em todos os arquivos e diretórios.
  • Nunca use FTP padrão para fazer upload de arquivos.
  • Oculte sua página de login e número da versão do WordPress e desative o editor de plug-in e tema.

Além disso, como uma etapa adicional, desativar relatórios PHP para o seu site. Temas e plug-ins fornecem informações sobre erros que podem ser explorados. Ao desativar os relatórios, você bloqueia ainda mais seu site contra possíveis ameaças.

Essas não são etapas únicas a serem seguidas. São tarefas regulares que você deve executar várias vezes por ano, se não pelo menos mensalmente.

Qual o pior que pode acontecer? Você não quer descobrir!

Alguns de vocês provavelmente pensam que ser hackeado não é grande coisa ou que seu site não é importante o suficiente para ser hackeado. Pensei a mesma coisa em 2010. Infelizmente, naquele ano, descobri da maneira mais difícil o que pode acontecer quando seu site WordPress é invadido.

Meu site foi hackeado e usado para distribuir malware. Meu provedor tinha uma política rígida sobre sites que espalham malware e, portanto, o meu foi colocado offline. Todos os meus arquivos foram apagados e meus backups foram limpos do sistema. Quase quatro anos de trabalho que eu havia feito no site se esgotaram em questão de horas.

Quando você falha em proteger seu site, corre o risco de perdê-lo junto com sua reputação. Pessoalmente, perdi um cliente importante, mas foi uma lição valiosa aprendida. Ao reservar um tempo para proteger seu site agora contra hackers, você protegerá os dados do site e a reputação conquistada com muito esforço.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map